Actualización: 25/09/2014, 16:00 h PDT
Luego de revisar las CVE-2014-6271 y las CVE-2014-7169, hemos determinado que nuestras API y backends no se ven afectados y, excepto lo que se establece a continuación, nuestros servicios tampoco se ven afectados.
Estas dos CVE afectan el shell de inicio de sesión de bash estándar, ampliamente implementado y utilizado en los hosts de Linux. Recomendamos a los clientes que revisen todos sus hosts de Linux a fin de verificar que se hayan instalado las versiones actualizadas del shell de bash.
Si utiliza Amazon Linux, las instancias de la AMI predeterminada de Amazon Linux que se lanzaron después del 14/09/2014 a las 12:30 h PDT traerán instaladas estas actualizaciones de forma automática. Para obtener más información acerca de cómo actualizar Amazon Linux, visite el siguiente enlace: https://alas.aws.amazon.com/ALAS-2014-419.html
Si utiliza alguno de los servicios enumerados a continuación, siga las instrucciones para cada uno de los servicios que usa a fin de asegurarse de que el software esté actualizado.
Amazon Elastic MapReduce (EMR): https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk: https://forums.aws.amazon.com/ann.jspa?annID=2629
Los clientes de AWS OpsWorks y AWS CloudFormation deben actualizar el software de sus instancias de acuerdo con las siguientes instrucciones:
AMI de Amazon Linux: https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
Actualización: 24/09/2014, 16:00 h PDT
Para las CVE-2014-6271, los siguientes casos requieren de ciertas acciones por parte de nuestros clientes:
AMI de Amazon Linux: se ha introducido una solución para las CVE-2014-6271 en los repositorios de las AMI de Amazon Linux, con una calificación de gravedad Crítica.
Puede encontrar nuestro boletín de seguridad para este problema aquí: https://alas.aws.amazon.com/ALAS-2014-418.html
De forma predeterminada, los nuevos lanzamientos de la AMI de Amazon Linux instalarán esta actualización de seguridad de forma automática.
Para las instancias de la AMI de Amazon Linux existentes, deberá ejecutar el comando siguiente:
sudo yum update bash
Este comando instalará la actualización. Según la configuración que usted tenga, es posible que deba ejecutar el comando siguiente:
sudo yum clean all
Para obtener más información, consulte https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
Continuaremos proporcionando actualizaciones en este boletín de seguridad.
24/09/2014 9:00 h PDT
Estamos al tanto de las CVE 2014-6271 que se publicaron el 24 de septiembre a las 7:00 h PDT. Actualmente estamos revisando los entornos de AWS y, en breve, actualizaremos este boletín con más información.